Jak Thomas swój ransomware Vortex/Flotera na Oferii zamawiał

dodał 5 kwietnia 2018 o 07:38 w kategorii Złośniki  z tagami:
Jak Thomas swój ransomware Vortex/Flotera na Oferii zamawiał

Załóżmy, że chcecie zostać internetowymi przestępcami. Nie potraficie jednak napisać złośliwego oprogramowania. Nie chcecie kupować gotowca – w tej sytuacji pozostaje Wam tylko wystawić zlecenie na Oferii i czekać na wykonawców.

Gdy ponad rok temu pierwszy raz opisaliśmy nową rodzinę ransomware, atakującą Polaków, nie sądziliśmy, że będziemy ją tak długo obserwować. Polski Ransomware / Vortex / Flotera (bo pod tymi trzema nazwami występował ten sam egzemplarz złośliwego oprogramowania) był w aktywnym użyciu przez prawie rok. Ponad wszelką wątpliwość wykorzystywany był tylko przez jednego przestępcę – Tomasza T., zwanego Thomasem lub Armaged0nem.

Prezentacja o Thomasie w czwartek na żywo
Już w ten czwartek ok. godziny 18:45 – 19:00 będzie można zobaczyć na żywo online dwie prezentacje poświęcone Thomasowi. Transmisja odbędzie się na profilu TMobile na Youtube.

Od ręcznej pracy do pełnej automatyzacji

Pierwszy ślad Polskiego Ransomware znaleźć można z datą 30 stycznia 2017 na Pastebinie. Mimo wysiłków wielu badaczy przez kilka tygodni nikt nie mógł namierzyć pliku wykonywalnego. Znana nam teoria mówi, że Thomas uruchamiał to ransomware całkowicie ręcznie na komputerach ofiar – łączył się zdalnie z zainfekowanym komputerem, czekał, aż ofiara nie będzie siedziała przed ekranem, a następnie odpalał narzędzie do szyfrowania plików, ustawiał hasło, szyfrował co trzeba i kasował narzędzie, zostawiając notatkę z informacją o żądaniu okupu. Ręczna robota, ale skuteczna.

Notatka była w formacie TXT lub HTML – tę drugą widzicie powyżej. Pierwszy raz plik binarny namierzony został dopiero 10 marca 2017, prawie półtora miesiąca później. Ta zidentyfikowana wersja działała już automatycznie, choć nad wyraz naiwnie. Dokładny opis znajdziecie w naszym artykule sprzed roku. W jaki sposób Thomas wdrożył automatyzację procesu? Długo myśleliśmy, że znaleziona wersja Vortexa/Flotery została przez niego osobiście stworzona, ponieważ okazała się nad wyraz prostą modyfikacją programu szyfrującego backupy z Githuba. Tymczasem okazuje się, że nawet tak prostego programu nie mógł stworzyć sam – ktoś mu pomógł.

Modyfikacja programu szyfrującego dane

16 lutego 2017 na Oferii pojawiło się ogłoszenie, w którym ktoś szukał wykonawcy na oko standardowego zadania.

Opis brzmiał następująco:

Zlece modyfikacje programu szyfrującego pliki, aktualnie jest to aplikacja w której manualnie wybieramy hasło oraz które pliki zaszyfrować docelowo chciałbym aby proces przebiegał automatycznie.
Program po modyfikacji ma pobierać hasło z API i samoczynnie szyfrować przy jego pomocy pliki we wskazanych folderach.
Kod programu prosty i czytelny szyfrowanie działa poprawnie i niczego nie trzeba poprawiać chodzi tylko o zautomatyzowanie procesu szyfrowania.

Jest to zlecenie wystawione przez Thomasa, opisujące dokładnie funkcje programu, który chciał zakupić i użyć do szyfrowania cudzych dysków. Co jednak jest złego w tworzeniu oprogramowania na zlecenie na Oferii?

Programiści, uważajcie, co piszecie

Osoba, która została wybrana przez Thomasa do wykonania zlecenia i która stworzyła na jego zamówienie ransomware, usłyszała zarzuty karne z art. 269b kk:

Kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwa określonego w art. 165 § 1 pkt 4, art. 267 § 3, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 1 lub 2 albo art. 269a, a także hasła komputerowe, kody dostępu lub inne dane umożliwiające nieuprawniony dostęp do informacji przechowywanych w systemie informatycznym, systemie teleinformatycznym lub sieci teleinformatycznej, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.

Skąd wiadomo, że program stworzony przez zleceniobiorcę był przystosowany do popełnienia przestępstwa? Najwyraźniej autor musiał mieć świadomość tego, co tworzy – program miał szyfrować wybrane pliki losowym kluczem pobranym z internetu, klucz ten miał przesyłać na inny serwer i kasować z zaszyfrowanego komputera, a następnie miał się sam z niego usuwać, zostawiając jedynie notatkę z informacjami o możliwości odzyskania plików. Czy można bardziej precyzyjnie opisać typowe zachowanie ransomware?

Jeśli zatem przyjdzie Wam kiedyś do głowy napisać dla kogoś program, który na pierwszy rzut oka będzie wyglądał i działał jak przeznaczony do popełnienia do przestępstwa, to zastanówcie się dwa razy, zanim nie będzie za późno. Co prawda w tej sprawie programista nie trafił do aresztu, ale raczej nie śpi spokojnie…

Prezentacja o Thomasie w czwartek na żywo
Już w ten czwartek ok. godziny 18:45 – 19:00 będzie można zobaczyć na żywo online dwie prezentacje poświęcone Thomasowi. Transmisja odbędzie się na profilu TMobile na Youtube.